प्लेटफ़ॉर्म
wordpress
घटक
product-import-export-for-woo
में ठीक किया गया
1.10.0
2.5.4
CVE-2025-1912 WooCommerce के लिए प्रोडक्ट इम्पोर्ट एक्सपोर्ट प्लगइन में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को वेब एप्लिकेशन से उत्पन्न होकर मनमाने स्थानों पर वेब अनुरोध करने की अनुमति देती है, जिससे आंतरिक सेवाओं से जानकारी प्राप्त की जा सकती है। यह भेद्यता प्लगइन के संस्करण 1.0.0 से 2.5.0 तक प्रभावित करती है। संस्करण 2.5.4 में अपडेट करके इस समस्या का समाधान किया जा सकता है।
SSRF भेद्यता के कारण, एक प्रमाणित हमलावर, जिसके पास व्यवस्थापक-स्तर की पहुंच है, आंतरिक नेटवर्क संसाधनों तक पहुंच प्राप्त कर सकता है जो आमतौर पर बाहरी दुनिया के लिए दुर्गम होते हैं। हमलावर आंतरिक सेवाओं को स्कैन कर सकते हैं, संवेदनशील डेटा प्राप्त कर सकते हैं, या यहां तक कि अन्य आंतरिक प्रणालियों पर हमला करने के लिए SSRF का उपयोग कर सकते हैं। यह भेद्यता डेटा उल्लंघनों, सिस्टम समझौता और अन्य सुरक्षा घटनाओं का कारण बन सकती है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को आंतरिक नेटवर्क में प्रवेश करने और आगे बढ़ने की अनुमति देती है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।
CVE-2025-1912 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं। हालाँकि, SSRF भेद्यताएँ अक्सर शोषण की जाती हैं, और इस भेद्यता का शोषण किया जा सकता है यदि हमलावर प्लगइन तक पहुंच प्राप्त कर सकता है। यह भेद्यता 2025-03-26 को प्रकाशित की गई थी। CISA KEV सूची में अभी तक शामिल नहीं किया गया है।
E-commerce businesses using WordPress and the Product Import Export for WooCommerce plugin are at risk. Specifically, sites running versions 1.0.0 through 2.5.0 are vulnerable. Shared hosting environments where plugin updates are managed by the hosting provider may be particularly susceptible if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'validate_file()' /var/www/html/wp-content/plugins/product-import-export-for-woocommerce/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/product-import-export-for-woocommerce/ | grep Server• wordpress / composer / npm:
wp plugin list | grep 'Product Import Export for WooCommerce'• wordpress / composer / npm:
wp plugin update product-import-export-for-woocommercedisclosure
एक्सप्लॉइट स्थिति
EPSS
0.13% (33% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-1912 को कम करने के लिए, प्लगइन को संस्करण 2.5.4 में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SSRF हमलों को ब्लॉक किया जा सकता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो आंतरिक नेटवर्क संसाधनों को लक्षित करते हैं। इसके अतिरिक्त, प्लगइन के कॉन्फ़िगरेशन को सुरक्षित किया जाना चाहिए ताकि हमलावरों को मनमाने स्थानों पर अनुरोध करने से रोका जा सके। अपडेट के बाद, यह सत्यापित करें कि प्लगइन ठीक से काम कर रहा है और SSRF हमलों के प्रति संवेदनशील नहीं है।
SSRF भेद्यता को कम करने के लिए प्रोडक्ट इम्पोर्ट एक्सपोर्ट फॉर WooCommerce प्लगइन को संस्करण 2.5.4 या उससे ऊपर के संस्करण में अपडेट करें। यह अपडेट `validate_file()` फंक्शन में त्रुटि को संबोधित करता है जो प्रमाणित हमलावरों को मनमाने वेब अनुरोध करने की अनुमति देता है। प्लगइन को अपडेट करने से पहले अपनी वेबसाइट का बैकअप लेना सुनिश्चित करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-1912 WooCommerce के प्रोडक्ट इम्पोर्ट एक्सपोर्ट प्लगइन में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक सेवाओं से जानकारी प्राप्त करने की अनुमति देती है।
यदि आप WooCommerce के प्रोडक्ट इम्पोर्ट एक्सपोर्ट प्लगइन के संस्करण 1.0.0 से 2.5.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-1912 को ठीक करने के लिए, प्लगइन को संस्करण 2.5.4 में अपडेट करें।
CVE-2025-1912 को अभी तक सक्रिय रूप से शोषण करने के कोई सार्वजनिक प्रमाण नहीं मिले हैं, लेकिन SSRF भेद्यताएँ अक्सर शोषण की जाती हैं।
आधिकारिक एडवाइजरी के लिए WooCommerce वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।